Voldoet u binnenkort aan de nieuwe privacywetgeving?

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG), in het Engels de ‘General Data Protection Regulation’ (GDPR). Uit een peiling door MKB Servicedesk onder 3.200 bedrijven blijkt dat zes op de tien mkb-bedrijven niet weten dat ze binnenkort (op dit moment al over 9 maanden) moeten voldoen aan de nieuwe Europese privacywetgeving. We maken deze lastige materie graag overzichtelijk voor u.

01-09-2017

Wat verandert er door deze nieuwe wet?

Het doel van de nieuwe Europese wet is simpel: “Persoonsgegevens nog beter beschermen”. Vanaf 25 mei 2018 heeft u als bedrijf documentatieplicht. Dit houdt in dat u verplicht bent een register of documentatie bij te houden van alle verwerkingen van persoonsgegevens binnen uw bedrijf of elders bij een verwerker. U moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen hebt getroffen om zorgvuldig met persoonsgegevens om te gaan. Een belangrijke eerste stap is in kaart brengen waar, hoe en waarom er binnen uw bedrijf persoonsgegevens worden verwerkt. Daarmee legt u de basis voor de verplichte privacy-administratie of documentatieplicht. Denk hier niet te licht over. U verwerkt meer persoonsgegevens dan u denkt. 

Wanneer is er sprake van verwerking van 'persoonsgegevens'?

De angel zit in het woordje "verwerken". De wet is van toepassing op ongeveer alles wat u met persoonsgegevens doet. Enkele van de vele voorbeelden van verwerking die de wet noemt zijn: verzamelen, vastleggen, bewaren, wijzigen, gebruiken en vernietigen van gegevens. Ook het doorzenden van persoonsgegevens valt onder verwerken. U verwerkt dus ook persoonsgegevens wanneer u:

  • bestanden met persoonsgegevens doorzendt naar bijvoorbeeld pensioenuitvoerders of verzekeraars.
  • persoonsgegevens van werknemers doorzendt die op locatie werkzaamheden verrichten (vaak verplicht)

Voorbeelden van mogelijke plaatsen binnen uw bedrijf waar u persoonsgegevens verwerkt:
  • In personeelsdossiers
  • Registratie van verzuimgegevens
  • Kilometerregistratie / black box
  • Telefoon- en e-mailgegevens
  • Salarisadministratie
  • Persoonsgegevens van klanten

"Maak privacy bescherming tot een 'Unique Selling Point'. Laat uw klanten zien dat u de bescherming van hun persoonsgegevens belangrijk vindt."


Algemene regels voor verwerking persoonsgegevens

De hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Zo moeten persoonsgegevens veilig worden opgeslagen en versleuteld worden verzonden (wettelijk verplicht!).

U mag persoonsgegevens alleen verzamelen en vastleggen als u er een uitdrukkelijk omschreven doel voor hebt. Enkele voorwaarden om recht te krijgen op het verzamelen van ‘persoonsgegevens’ zijn:

  • U heeft toestemming gekregen van degene wiens gegevens worden verwerkt.
  • De verwerking van de gegevens is noodzakelijk voor de uitvoering van een wettelijke verplichting (registratie op last van de belastingdienst).
  • Het verzamelen van de gegevens is noodzakelijk voor de behartiging van een gerechtvaardigd belang, tenzij het belang van de betrokkene zwaarder weegt.

Buiten het bedrijf opslaan of verwerken van gegevens

Steeds vaker wordt data opgeslagen en/of bewerkt op computers buiten het bedrijf. Zowel de bewerker (clouddienst, hostingprovider, etc.) als de opdrachtgever zijn wettelijk verplicht om een verwerkersovereenkomst te sluiten. Daarin moet onder andere worden opgenomen wie verantwoordelijk is in het geval van bijvoorbeeld een datalek.

Laptops, tablets en USB-sticks

Ook laptops, tablets en USB-sticks met persoonsgegevens mogen niet zo maar onbevoegd, buiten uw bedrijf gebruikt worden. Ook het kwijtraken van een usb-stick of het ontdekken van malware op een server wordt gezien als een mogelijk datalek. Dat geldt niet alleen als er (persoons)gegevens verloren zijn gegaan maar ook als je niet kunt uitsluiten dat onbevoegden kennis hebben kunnen nemen van de inhoud van de (persoons)gegevens.

Recht op verwijdering

Betrokkenen waarvan persoonsgegevens worden bewaard, hebben het recht om te vragen hun gegevens te laten verwijderen. Dit is uw verantwoordelijkheid en dat is soms niet eenvoudig. Zeker als gegevens zijn gedeeld met derden (daar moeten de gegevens dan ook worden verwijderd) of als u niet weet of er nog ergens een backup of ander (cloud-)bestand is waarin de gegevens voorkomen.

Maak van privacy een USP!

Bij handhaving van de wet zal de nadruk komen te liggen op de verantwoordelijkheid van bedrijven. De boetes bij het niet voldoen aan de AVG zijn aanzienlijk. Dit mag echter niet de belangrijkste drijfveer zijn voor het nemen van maatregelen. Maak privacy bescherming tot ‘Unique Selling Point’ naar uw klanten. Laat klanten en andere stakeholders zien dat u de bescherming van (hun) gegevens belangrijk vindt en dat privacybescherming deel uitmaakt van uw kwaliteitsmanagement. 

Tip:

Lees de 10 stappen om u voor te bereiden op de AVG op de website van de Autoriteit Persoonsgegevens

Contact

Meeùs inventariseert onafhankelijk de risico’s van bedrijven in de industrie om tot passende oplossingen te komen. Onze risico- en verzekeringsadviseurs vertellen u graag meer over de mogelijkheden. Bekijk wat we voor u kunnen betekenen. Bent u ondernemer in een andere sector? Kies dan via 'Verder in uw sector' uw gewenste risico- en verzekeringsadviseur.

Neem contact met ons op

Wilt u direct een specialist spreken? Neem contact op met uw eigen Meeùs risico- en verzekeringsadviseur sector Industrie of met het sectorteam:
T: Toon telefoonnummer
E: industrie@meeus.com


Terug naar het overzicht


Reageer en deel